feat: ra veridation

Author: atlas-form

crates/capsula-pki/TODO.md

@@ -0,0 +1,157 @@
+# Capsula-PKI 开发任务清单
+
+## 📋 项目概览
+基于 Rust 的完整 PKI (公钥基础设施) 实现，支持完整的证书生命周期管理。
+
+## 🎯 核心功能模块
+
+### ✅ 已完成模块
+- [x] **CSR 模块** (`src/ra/csr.rs`) - 证书签名请求
+  - [x] CSR 生成和解析
+  - [x] PEM/DER 格式支持
+  - [x] 签名验证
+- [x] **Cert 模块** (`src/ra/cert.rs`) - 证书管理
+  - [x] 证书生成（从CSR）
+  - [x] 自签名证书
+  - [x] X.509 格式支持
+  - [x] 证书验证
+
+### 🔄 需要验证的模块 (优先级：高)
+> 这些模块由 AI 生成，需要人工验证和测试
+
+#### 1. CA 模块验证 (`src/ca/mod.rs`)
+- [ ] 验证根 CA 生成功能
+- [ ] 测试中间 CA 创建
+- [ ] 检查证书签发流程
+- [ ] 验证多算法支持（Ed25519/RSA/ECC）
+- [ ] 测试 CA 配置和导入/导出
+
+#### 2. RA 模块验证 (`src/ra/`)
+- [ ] 验证 CSR 接收和验证流程
+- [ ] 测试身份认证机制
+- [ ] 检查审批工作流程（手动/自动）
+- [ ] 验证请求处理器功能
+
+#### 3. 密钥存储验证 (`src/keystore/`)
+- [ ] 验证文件系统存储后端
+- [ ] 测试密钥元数据管理
+- [ ] 检查存储接口实现
+- [ ] 验证密钥检索功能
+
+## 🚀 开发优先级和顺序
+
+### 阶段一：RA 模块完善 (第1-2周) - 最高优先级
+> **依赖关系**：CA 依赖 RA，必须先完善 RA 作为 PKI 系统入口
+
+1. **RA 核心功能验证和完善**
+   - [ ] 验证 CSR 接收和处理流程 (`src/ra/request_handler.rs`)
+   - [ ] 完善身份认证机制 (`src/ra/identity_auth.rs`)
+   - [ ] 实现审批工作流程 (`src/ra/approval_workflow.rs`)
+   - [ ] 完善 CSR 验证逻辑 (`src/ra/validation.rs`)
+   - [ ] 测试 RA 配置和策略管理
+
+2. **密钥存储模块完善** (支撑 RA/CA)
+   - [ ] 实现 `store_key()` 和 `retrieve_key()` 的完整功能
+   - [ ] 添加密钥加密存储支持
+   - [ ] 实现密钥轮换机制
+   - [ ] 添加 HSM 集成接口（预留）
+
+### 阶段二：CA 模块验证 (第3-4周)
+> **基于完善的 RA 来验证 CA 功能**
+
+1. **CA 模块深度测试**
+   - [ ] 验证 RA → CA 的完整集成流程
+   - [ ] 编写完整的 CA 集成测试
+   - [ ] 验证根 CA → 中间 CA → 最终证书 的完整链路
+   - [ ] 测试不同算法的兼容性
+   - [ ] 性能基准测试
+
+### 阶段三：生命周期管理 (第5-6周)
+3. **证书生命周期模块** (`src/lifecycle/`)
+   - [ ] 设计证书更新（renewal）机制
+   - [ ] 实现证书吊销（revocation）功能
+   - [ ] 添加证书过期通知系统
+   - [ ] 实现证书自动续期
+
+4. **证书状态查询模块** (`src/status/`)
+   - [ ] 实现 CRL（证书吊销列表）生成和管理
+   - [ ] 添加 OCSP（在线证书状态协议）支持
+   - [ ] 实现证书状态缓存机制
+   - [ ] 添加状态查询 API
+
+### 阶段三：高级功能 (第5-6周)
+5. **高级密钥管理**
+   - [ ] 密钥托管与导出功能
+   - [ ] 密钥恢复机制
+   - [ ] 密钥轮换策略
+   - [ ] 硬件安全模块(HSM)集成
+
+6. **安全增强**
+   - [ ] 审计日志系统
+   - [ ] 访问控制机制
+   - [ ] 密钥泄露检测
+   - [ ] 安全策略配置
+
+### 阶段四：性能优化和集成 (第7-8周)
+7. **性能优化**
+   - [ ] 缓存策略实现
+   - [ ] 并发处理优化
+   - [ ] 内存使用优化
+   - [ ] 密码学操作优化
+
+8. **库集成和文档**
+   - [ ] 端到端测试套件
+   - [ ] 库文档生成 (rustdoc)
+   - [ ] 使用指南和示例
+   - [ ] 集成测试覆盖
+
+## 🧪 测试策略
+
+### 单元测试
+- [ ] 每个核心模块 >80% 代码覆盖率
+- [ ] 边界条件和错误情况测试
+- [ ] 加密算法兼容性测试
+
+### 集成测试
+- [ ] 完整 PKI 工作流程测试
+- [ ] 跨模块交互测试
+- [ ] 性能和压力测试
+
+### 安全测试
+- [ ] 密码学安全性验证
+- [ ] 漏洞扫描和渗透测试
+- [ ] 合规性检查
+
+## 📝 当前已知问题
+
+### 需要修复的问题
+1. **RA 模块功能待验证** (最高优先级)
+   - `request_handler.rs` 请求处理逻辑需要验证
+   - `identity_auth.rs` 身份认证机制需要完善
+   - `approval_workflow.rs` 审批流程需要测试
+   - `validation.rs` CSR 验证逻辑需要加强
+
+2. **密钥存储实现不完整**
+   - `store_key()` 和 `retrieve_key()` 只有占位实现
+   - 缺少密钥序列化/反序列化逻辑
+
+3. **CA 模块待验证** (依赖 RA 完成后)
+   - 证书签发逻辑需要验证
+   - 中间 CA 创建流程需要测试
+   - 与 RA 的集成需要测试
+
+4. **错误处理**
+   - 统一错误处理机制
+   - 更详细的错误信息
+
+## 🏁 里程碑目标
+
+- **里程碑 1**: RA 模块功能完善和验证完成 (PKI 入口就绪)
+- **里程碑 2**: CA 模块验证完成 (基于完善的 RA)
+- **里程碑 3**: 完整证书生命周期实现
+- **里程碑 4**: 生产就绪的 PKI 系统
+- **里程碑 5**: 性能优化和安全加固完成
+
+---
+*最后更新: 2025-09-14*
+*优先级: RA模块完善 → CA模块验证 → 密钥存储完善 → 生命周期管理 → 高级功能*

crates/capsula-pki/src/lib.rs

@@ -57,9 +57,7 @@ pub use keystore::{
     StorageBackend,
 };
 // Lifecycle 模块
-pub use lifecycle::{
-    ChainValidator, LifecycleManager, LifecyclePolicy, ValidationResult,
-};
+pub use lifecycle::{ChainValidator, LifecycleManager, LifecyclePolicy, ValidationResult};
 pub use ra::{
     // CSR相关
     build_unsigned,
@@ -74,7 +72,6 @@ pub use ra::{
     verify_certificate,
     CertReqInfo,
     CertificateInfo,
-    CertificateSigningRequest,
     CertificateSubject,
     Csr,
     CsrSubject,
@@ -111,7 +108,6 @@ pub mod prelude {
         create_self_signed_certificate,
         CertReqInfo,
         CertificateInfo,
-        CertificateSigningRequest,
         CertificateSubject,
         Csr,
         CsrSubject,

crates/capsula-pki/src/ra/cert/mod.rs crates/capsula-pki/src/ra/cert.rscrates/capsula-pki/src/ra/cert/mod.rs renamed to crates/capsula-pki/src/ra/cert.rs

@@ -20,6 +20,17 @@ use x509_cert::{
 
 use crate::{error::PkiError, Result};
 
+/// 公钥信息
+#[derive(Debug, Clone)]
+pub struct PublicKeyInfo {
+    /// 算法标识符
+    pub algorithm: String,
+    /// 密钥大小（适用于RSA）
+    pub key_size: Option<u32>,
+    /// 公钥数据
+    pub public_key_data: Vec<u8>,
+}
+
 /// Certificate Signing Request (CSR) with Capsula Key integration
 #[derive(Debug, Clone)]
 pub struct Csr {
@@ -120,9 +131,6 @@ pub fn create_csr<K: Key + KeySign>(key: &K, subject: CsrSubject) -> Result<Csr>
     Csr::assemble(cert_req_info, &signature_bytes)
 }
 
-/// Type alias for backward compatibility
-pub type CertificateSigningRequest = Csr;
-
 impl Csr {
     /// Assemble a complete CSR from CertReqInfo and signature
     ///
@@ -432,6 +440,43 @@ impl Csr {
             locality: None,
         }
     }
+
+    /// Get public key info for validation
+    pub fn get_public_key_info(&self) -> Result<PublicKeyInfo> {
+        let spki = &self.inner.info.public_key;
+        
+        // 解析算法标识符
+        let algorithm = match spki.algorithm.oid {
+            const_oid::db::rfc8410::ID_ED_25519 => "Ed25519".to_string(),
+            const_oid::db::rfc5912::ID_RSASSA_PSS => "RSA".to_string(),
+            const_oid::db::rfc5912::RSA_ENCRYPTION => "RSA".to_string(),
+            const_oid::db::rfc5912::ID_EC_PUBLIC_KEY => "ECDSA".to_string(),
+            _ => format!("Unknown({})", spki.algorithm.oid),
+        };
+
+        // 获取公钥数据
+        let public_key_data = spki.subject_public_key.raw_bytes().to_vec();
+
+        // 对于 RSA，尝试估算密钥长度
+        let key_size = if algorithm == "RSA" {
+            // RSA 公钥的 DER 编码大小大致可以估算密钥长度
+            // 这是一个粗略估算，实际密钥长度需要解析 ASN.1 结构
+            match public_key_data.len() {
+                200..=299 => Some(2048), // 2048位 RSA 公钥大约 270 字节
+                300..=399 => Some(3072), // 3072位 RSA 公钥大约 390 字节  
+                400..=600 => Some(4096), // 4096位 RSA 公钥大约 550 字节
+                _ => None,
+            }
+        } else {
+            None
+        };
+
+        Ok(PublicKeyInfo {
+            algorithm,
+            key_size,
+            public_key_data,
+        })
+    }
 }
 
 // Re-export CertReqInfo for external use in build_unsigned/assemble pattern

crates/capsula-pki/src/ra/csr/mod.rs crates/capsula-pki/src/ra/csr.rscrates/capsula-pki/src/ra/csr/mod.rs renamed to crates/capsula-pki/src/ra/csr.rs

@@ -5,20 +5,21 @@
 //! - 身份认证（个人/设备/服务）
 //! - 审批流程控制（手动/自动）
 
-pub mod csr;
+pub mod approval_workflow;
 pub mod cert;
-pub mod request_handler;
+pub mod csr;
 pub mod identity_auth;
-pub mod approval_workflow;
+pub mod request_handler;
 pub mod validation;
 
 // 重新导出CSR和证书相关类型
-pub use csr::{create_csr, CertificateSigningRequest, Csr, CsrSubject, CertReqInfo, build_unsigned};
 pub use cert::{
     create_certificate, create_self_signed_certificate, export_certificate, import_certificate,
     parse_certificate, sign_certificate, verify_certificate, CertificateInfo, CertificateSubject,
     X509Certificate,
 };
+pub use csr::{build_unsigned, create_csr, CertReqInfo, Csr, CsrSubject, PublicKeyInfo};
+pub use validation::{RequestValidator, ValidationPolicy, ValidationResult, ValidationSeverity, ValidationIssue};
 
 use crate::error::Result;
 
@@ -44,4 +45,4 @@ impl Default for RAConfig {
             max_pending_requests: 1000,
         }
     }
-}
+}

crates/capsula-pki/src/ra/mod.rs

@@ -2,10 +2,13 @@
 //!
 //! 负责接收、验证和处理证书签名请求
 
-use crate::ra::csr::CertificateSigningRequest;
-use crate::error::{PkiError, Result};
 use std::collections::HashMap;
 
+use crate::{
+    error::{PkiError, Result},
+    Csr,
+};
+
 /// 请求状态
 #[derive(Debug, Clone, PartialEq)]
 pub enum RequestStatus {
@@ -27,7 +30,7 @@ pub struct CsrRequest {
     /// 请求ID
     pub request_id: String,
     /// CSR内容
-    pub csr: CertificateSigningRequest,
+    pub csr: Csr,
     /// 请求状态
     pub status: RequestStatus,
     /// 提交时间
@@ -56,10 +59,10 @@ impl RequestHandler {
     }
 
     /// 接收新的CSR请求
-    pub fn receive_request(&mut self, csr: CertificateSigningRequest) -> Result<String> {
+    pub fn receive_request(&mut self, csr: Csr) -> Result<String> {
         self.request_counter += 1;
         let request_id = format!("REQ-{:08}", self.request_counter);
-        
+
         let request = CsrRequest {
             request_id: request_id.clone(),
             csr,
@@ -85,9 +88,11 @@ impl RequestHandler {
         status: RequestStatus,
         notes: Option<String>,
     ) -> Result<()> {
-        let request = self.pending_requests.get_mut(request_id)
+        let request = self
+            .pending_requests
+            .get_mut(request_id)
             .ok_or_else(|| PkiError::NotFound(format!("Request {} not found", request_id)))?;
-        
+
         request.status = status;
         request.updated_at = time::OffsetDateTime::now_utc();
         if let Some(notes) = notes {
@@ -96,4 +101,4 @@ impl RequestHandler {
 
         Ok(())
     }
-}
+}